Analiza ryzyka związanego z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), może wskazać na konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (OSOD). Stanowi ona „szczególny rodzaj szacowania ryzyka” w stosunku do ogólnej analizy ryzyka, a zasady i okoliczności jej sporządzania opisuje ogólne rozporządzenie o ochronie danych (RODO).

Wyliczając ryzyko związane z przetwarzaniem danych osobowych przy użyciu sztucznej inteligencji (AI), często należy brać pod uwagę nowe aktywa i czynności przetwarzania, a także nowe zagrożenia wraz z charakterystycznymi skutkami ich wystąpienia. Po wyliczeniu takiego ryzyka należy opracować metodę postępowania z ryzykiem.

YouTube to jeden z podstawowych kanałów komunikacji firm ze swoimi klientami. Konta w tym popularnym portalu streamingowych są subskrybowane są, a filmy oglądane i komentowane. W związku z tym dochodzi oczywiście do przetwarzania danych osobowych użytkowników. Profesjonalny youtuber niezależnie od tego, czy jest to jednoosobowy przedsiębiorca czy też korporacja, musi spełniać wymogi ochrony danych osobowych przewidziane w RODO.

W ostatnim czasie obserwujemy przyspieszone tempo rozwoju sztucznej inteligencji (AI) i zwiększenie zakresu jej stosowania w codziennej działalności firm. Wdrożenie AI ma też związek z pojawianiem się nowych zagrożeń, na które trzeba reagować odpowiednimi zabezpieczeniami, m.in. w zakresie ochrony danych osobowych. Celem znalezienia takich zabezpieczeń, należy przeprowadzić analizę ryzyka.

Kody QR, coraz popularniejsze w profesjonalnej działalności mogą niestety generować zagrożenie dla ich użytkowników. Kody te mogą bowiem być wykorzystywane w atakach phishingowych, ale też w działaniach o podłożu socjotechnicznym. Korzystający z kodu QR musi więc działać ze szczególną ostrożnością. Na zagrożenia musi zwracać uwagę także administrator danych osobowych tworzący kody QR i wykorzystujący je w swojej działalności.

RODO nie wskazuje jednoznacznie na to, jakie minimalne kryteria pozwolą zagwarantować zgodność oprogramowania komputerowego z przepisami. Ustanawia jednak wymogi, które należy wziąć pod uwagę w toku całego procesu tworzenia i stosowania oprogramowania, tak aby umożliwić osiągnięcie zgodności działań z przepisami.

Ustawodawca unijny, w ramach dyrektywy NIS2, nakłada na przedsiębiorców cały szereg nowych obowiązków z zakresu bezpieczeństwa informatycznego. Przy czym wybór szczegółowego sposobu realizowania tych obowiązków pozostawiony jest podmiotom kluczowym i ważnym. Z pewnością niezbędne będzie stworzenie szeregu dokumentów, polityk i procedur, które będą stanowiły fundament systemu cyberbezpieczeństwa w organizacji. Istotną pomocą dla przedsiębiorców mogą być wytyczne przygotowane przez Komisję Europejską. Na razie organizacje powinny zacząć przygotowywać się do dostosowania się do nowych obowiązków i śledzić proces implementacji przepisów dyrektywy do naszego krajowego porządku prawnego.

W związku z nieustającym rozwojem technologicznym, postępującą informatyzacją oraz rosnącą liczbą zagrożeń w zakresie cyberbezpieczeństwa, unijni urzędnicy uznali, że dyrektywa dotycząca cyberbezpieczeństwa, potocznie nazywana „NIS”, wymaga zmian. Dlatego też Parlament Europejski przyjął dyrektywę NIS2, która weszła w życie na początku 2023 r., a jej implementacja w krajach członkowskich musi nastąpić do połowy października 2024 r. Zmienia ona dotychczasowe podejście do tego, jakie podmioty muszą stosować zaostrzone rygory związane z bezpieczeństwem informatycznym. Przedstawiamy podstawowe informacje związane z funkcjonowaniem dyrektywy NIS2, czyli to jakie podmioty obejmuje i jakie są ich podstawowe obowiązki.

Prezes UODO zwraca w swoich decyzjach szczególną uwagę na regularne przeglądy w kontekście już zaistniałych incydentów bezpieczeństwa. Stąd też, w przypadku kontroli organu nadzorczego urzędnicy również mogą nas poprosić o udowodnienie, że w przypadku aplikacji webowych takie przeglądy miały miejsce.

W zakresie przetwarzania danych na potrzeby aplikacji mobilnych należy zwrócić uwagę na kilka aspektów. Otóż co prawda administrator danych osobowych posiada pewną swobodę w zakresie kształtowania zabezpieczeń. Jednak nasze wymogi w tym zakresie musimy skonsultować z twórcami aplikacji. Adekwatne środki zabezpieczeń należy dobrać na podstawie wcześniej sporządzonej i udokumentowanej analizy ryzyka.